补丁管理流程(服务器).docVIP

深圳迈瑞生物医疗电子股份有限公司文件 PAGE 拟制部门：信息安全与用户支持部 拟制： 审核： 发至：IT系统 深圳迈瑞生物医疗电子股份有限公司 文 件 签发： MRSZ/（A） 拟制部门：信息安全与用户支持部 拟制： 审核： 发至：IT系统 服务器补丁管理流程 目的 制定和实施一个可重复性、可执行性、统一的补丁管理流程，能够提高企业IT部门进行补丁升级操作的效率和准确率，能够提升IT架构的可用性，从而增强企业对IT架构的信心。同时提高服务器的安全性和稳定性。 范围 适用于深圳迈瑞生物医疗技术公司及其分公司等分支机构。以下简称公司。 本文档补丁是指微软WINDOWS操作系统补丁。 定义 人员定义和职责定义 补丁管理员：补丁收集，补丁检查，服务器操作系统级别补丁测试。 信息安全工程师：整个补丁流程的OWNER，跟踪和监视整个补丁管理流程的执行情况。 信息安全主管：审核和检查补丁测试报告，负责审批流程的审核工作。 IT总监：审核和检查补丁测试报告，负责审批流程的审核工作。 IT基础架构部：负责测试环境的搭建，WINDOWS平台补丁安装，负责平台级以及数据库/中间件/WEBSERVER级的测试。 操作系统管理员：WINDOWS平台补丁安装，负责平台级以及数据库/中间件/WEBSERVER级的测试。 应用系统管理员：负责WINDOWS平台补丁安装后的应用系统测试工作。 补丁重要性定义 优先级 表示优先 级的颜色 标准 推荐操作 最迟操作 响应时间 安装率 参考值 响应时间 安装率 参考值 1 危急 (Emergency) 易受攻击,攻击已出现,其他组织正在受到该问题的影响 6-12小时之内 95% 12-18小间之内 100% 2 关键 (Critical) 易受攻击,但未发现漏洞利用 48小时之内 95% 1周之内 100% 3 紧急 (Urgent) 已出现攻击技术,但难以实施 1周之内 95% 2周之内 100% 4 严重 (Important) 已出现攻击技术,但难以实施,且危害性很有限或很小 15天之内 90% 1个月之内 100% 5 通知 (Informational) 没有攻击技术 1个月之内 80% 2个月之内升级或不处理 100% 补丁流程的各阶段定义 补丁收集：根据多种途径进行补丁的获取，以保证补丁需求的完整性。 补丁测试：根据迈瑞测试环境进行补丁测试，以保证获取的补丁信息对现有环境兼容性和可用性。并根据测试报告，为补丁发布提供详细的技术指导。 补丁发布： 尽可能地减小新补丁程序对当前业务和现有IT架构的不利影响，并指导补丁更新人员进行补丁程序的更新操作。 补丁检查：安装补丁以后的终端情况审计工作，检查记录补丁的安装覆盖率及运行情况等。 补丁管理工作流程 流程图 补丁收集 参照3.1人员定义，补丁收集工作由补丁管理员完成。 微软产品如WINDOWS SERVER、数据库、中间件、WEBSERVER等由微软定期发布的补丁信息进行收集。 补丁管理员会根据资讯信息进行补丁分析和收集。如趋势科技每周威胁讯警、公安部发布的相关警讯、各大安全站点的发布的最新补丁信息等。 其他服务器平台则由其他服务器产品厂商发布的补丁程序信息进行收集。 遇到比较紧急的漏洞爆发情况，厂商通常还会发布紧急的补丁升级程序 补丁测试 补丁测试准备： 了解安全补丁中的文件、功能函数和操作。为确保所有的用户组（比如服务器管理员组）都充分地理解安装补丁所造成的影响，负责补丁管理的人员应了解以下问题： 需要了解信息 详细信息 补丁解决的问题 受影响的系统 受影响的文件 是否需要重启系统 是否需要重启应用 是否能进行卸载 安装失败的回退方案 以上问题及其解答，与所计划发布的补丁的细节应记录在案。这将为组织留下了安装补丁的原因、时间、地点的审记记录。 补丁测试环境准备： 此环境由操作系统管理员和应用系统管理员准备。但要确保测试环境与正式生产环境的一致性、可用性。 补丁测试流程： 补丁发布 安全补丁经补丁管理员测试完成后，交补丁测试报告给信息安全工程师。这时候补丁就进入发布阶段了，发布补丁需保证发布过程可重复，具有连贯性，可追踪状态，有错误记录。发布过程中由操作系统管理员先进行补丁安装，并进行数据库、中间件、WEBSERVER的测试，安装完成后，由应用系统管理员进行应用系统的测试。 补丁发布流程 补丁检查 由补丁管理员利用补丁管理软件检查，并提交一个检查报告。 补丁管理过程需要生成关键性能指标（Key P